监管要求(如证券交易委员会的新网络事件报告规则)和联邦、州及国际层面的其他监管要求,已提高了对网络事件和高管层级责任的要求。目前的勒索软件攻击及其他攻击事件也表明,网络事件会威胁公司的运营和声誉。
无论CISO在公司层级结构中的位置如何,董事会都越来越关注网络安全。简而言之,董事会在涉及网络安全风险时应向公司管理层提出的最大问题是:“我们安全吗?”
然而,这是一个复杂的问题,简单的“是”或“否”是不够的,CISO需要用董事会成员能理解的语言向高层管理人员和董事会成员解释公司安全态势的良好之处,他们必须提供资产安全的证据,解释如何衡量安全性,并展示公司安全态势的演变过程。
要充分回答这个问题,CISO需要回答五个关键问题。董事会可能不会明确提出这些问题,但在每次会议上解决它们可以有效地传达企业的网络风险态势。
1. 我们的关键资产安全的证据在哪里?
准备好回答这个问题是一个例子,说明预测董事会需要了解的信息如何帮助CISO提高表现。
安全领导者经常基于自己的最佳猜测做出决策。提供安全证据可能需要结合漏洞管理和暴露管理与传统资产情报,从而为你提供关键资产的完整视图。这些资产与SEC相关的业务风险有关,受支付卡行业(PCI)标准约束,包含敏感客户数据或是供应链中的关键部分。
列出你的关键资产,并确定哪些没有问题,哪些有问题,是带到董事会的有力证据。如果安全高管想要像首席财务官(CFO)等其他高级管理人员一样受到对待,他们必须携带实证证据,并基于证据做出论点。
2. 我们的关键资产的安全性季度同比趋势如何?
在识别关键资产后,你需要展示你的安全态势是否比上周、上个月或上季度更好,并解释为什么更好——或者更差。在后一种情况下,如果可以证明安全不足是由于资源、人力或许可的缺乏,CISO可以提出更多资源或更大预算的请求。
无论哪种情况,随着时间的推移跟踪趋势会鼓励CISO更加战略性地思考。
3. 你能展示我们需要在哪些方面投资以增强关键资产保护的指标吗?
除了展示企业的关键资产并识别存在问题的资产,你还需要深入了解这些问题的原因。例如,你可以识别由于生命周期结束或缺少安全控制或补丁管理而面临暴露的资产。
安全高管还可以展示有多少工单处于开放状态以及解决这些工单的进度。他们还可以展示投资不足导致暴露风险的地方。
4. 支持关键任务操作的资产的漏洞修复时间是多久?
修复不仅仅是发现和解决问题。一个关键问题是:需要多长时间?企业必须为其应用程序和其他资产设定参数,确定目标修复时间。
对于某些资产,14天可能是一个合理的目标,但对于关键任务资产,可能需要更短的时间——四天、三天甚至更短的时间。平均修复时间(MTTR)是事件响应的重要关键绩效指标(KPI),最终会影响公司的责任。
5. 有哪些证据表明受监管要求约束的资产符合规定?
为了提供资产符合规定的证据,像配置管理数据库(CMDB)这样的解决方案可以让你标记某些资产为关键资产,例如运行Oracle的任何系统或云中的所有内容。将这些信息导入或在资产情报解决方案中标记它们,可以将业务上下文层叠到其他措施之上,从而提供对关键资产状态的可见性。
除了标记关键资产外,你还可以例如在季度或财年末识别与PCI法规相关的所有关键资产或与金融服务相关的资产。资产情报和业务上下文标记允许CISO微调特定资产的指标,为董事会提供公司风险管理态势的更清晰的概念。
结论
无论CISO在公司层级中的排名如何,他们在网络安全方面都处于高压位置。这种压力越来越延伸到高层领导和董事会。
能够清晰解释公司安全态势、其演变过程以及需要更多资源的地方的CISO,可以缓解高层对安全的担忧,同时证明安全高管应当在高层会议中占有一席之地的理由。
